Cisco ASA 5585-X 適応型セキュリティ アプライアンス ハードウェア インストレーション ガイド

Cisco MultiScale™ 搭載 Cisco ASA 5585-X の導入

---

この章では、Cisco MultiScale™ を搭載した Cisco ASA 5585-X について説明します。次の項で構成されています。

• 「製品概要」

• 「前面パネルと背面パネルの機能」

• 「仕様」

• 「メモリ構成」

• 「電源モジュールの必要条件」

• 「SFP/SFP+ モジュール」

（注） 取り付け手順を開始する前に、ガイド全体を参照してください。

警告 この装置の設置、交換、保守は、訓練を受けた相応の資格のある人が行ってください。ステートメント 49

製品概要

ASA 5585-XMultiScale を特徴とする適応型セキュリティ アプライアンスは、2RU の 2 スロット シャーシです。市場でパフォーマンス密度が最も高いファイアウォールをサポートしている ASA 5585-X の設計は、スループットだけでなく接続速度の速さと最大接続数の点でも、高いスケーラビリティを提供します。接続速度および最大接続数の必要条件は、ほとんどのカスタマー データセンター ネットワークにおいてスループットよりも急速に伸びています。ASA 5585-X の機能は、データセンターのスループット、接続容量、接続速度の面におけるスケーラビリティの問題に同時に対処するのに役立ちます。

各 ASA 5585-X シャーシには統合ファンを含む AC 電源モジュールが 2 台まで内蔵されます。お客様は、代わりに 2 番めのベイにファン モジュールの取り付けが可能です。Security Services Processor (SSP) はスロット 0（下部スロット）に配置されます。スロット 1（最上位スロット）には、追加の SSP、オプションの侵入防御システム Security Services Processor（IPS SSP）、オプションの Cisco ASA 5585-X CX Security Services Processor（ASA CX SSP）、または 2 台までのネットワーク モジュールを装着できます。ポート番号はすべて、右から左へと 0 から順に付番されます。

（注） ASA 5585-X は、ASA 5585-X SSP-40 モデルおよび ASA 5585-X SSP-60 モデルについてデュアル ファイアウォール モードをサポートします。SSP は一致する必要があります。つまり、1 つのシャーシに SSP-40 を共存させるか SSP-60 を共存させます。

（注） デュアル ファイアウォール モードは ASA ソフトウェアの特定のバージョンにおいてのみサポートされます。詳細については、次の URL にある『Cisco ASA Compatibility』を参照してください。
http://www.cisco.com/en/US/docs/security/asa/compatibility/asamatrx.html

ASA 5585-X シリーズには以下の 4 種類のモデルがあります。

• Security Services Processor-10 搭載 ASA 5585-X

• Security Services Processor-20 搭載 ASA 5585-X

• Security Services Processor-40 搭載 ASA 5585-X

• Security Services Processor-60 搭載 ASA 5585-X

世界水準のパフォーマンスに加えて、ASA 5585-X は暗号化トラフィックの検査、ポート密度（モデルによって最大 20 個のインターフェイス）、および機能パフォーマンス マッチング（つまり、ファイアウォール機能と IPS 機能の間のパフォーマンス パリティ）を配備します。すべての ASA 5585-X シリーズの適応型セキュリティ アプライアンスはコア SSP に同梱されます。追加の SSP、IPS SSP、 ASA CX SSP またはネットワーク モジュールはオプションです。他のモジュールを実行するには、コア SSP が必要です。

オプションの冗長なホット スワップ可能電源モジュールに加えて、ファン故障時のホット スワップ可能なファン モジュールも使用可能です。

（注） SSP、IPS SSP、ASA CX SSP およびネットワーク モジュールの活性挿抜（OIR）は、現在サポートされていません。SFP/SFP+、電源モジュールおよびファン モジュールの OIR がサポートされています。

ASDM

また、適応型セキュリティ アプライアンスのソフトウェアは Cisco Adaptive Security Device Manager (ASDM)をサポートしています。ASDM では、直感的で使用が容易な Web ベースの管理インターフェイスにより、ワールドクラスのセキュリティ管理と監視機能が提供されています。適応型セキュリティ アプライアンスにバンドルされた ASDM により、市場をリードする適応型セキュリティ アプライアンスのソフトウェア スイートで提供される高度な統合型セキュリティ機能とネットワーク機能を補う、インテリジェント ウィザード、堅牢な管理ツール、および多用途モニタリング サービスを備えた適応型セキュリティ アプライアンスの導入が促進されます。安全な Web ベースの設計によって、いつでも、どこからでも、適応型セキュリティ アプライアンスへのアクセスが可能です。

SSP は環境モニタリングを提供し、ファンと電源モジュールの動作ステータスを追跡します。また、CPU の温度およびシステムの周囲温度をトレースします。

IDM

IPS SSP は Intrusion Prevention System Device Manager（IDM）7.1 をサポートします。IDM は直感的で使いやすい Web ベースの管理インターフェイスにより、セキュリティ管理と監視機能を提供します。IDM は IPS SSP を設定および管理するための Java Web Start アプリケーションです。IDM は、IPS 7.1 にバンドルされます。この Web サーバには、Internet Explorer や Firefox などの Web ブラウザでアクセスできます。

IME

Intrusion Prevention System Manager Express（IME）7.1 は IPS SSP もサポートしています。IME は、システムのヘルス モニタリング、イベント モニタリング、コラボレーション モニタリング、レポートおよび最大 10 のセンサーの設定を行うことができるネットワーク管理アプリケーションです。IME はカスタマイズ可能なダッシュボードを使用してセンサーの状態を監視し、Cisco Security Intelligence Operations サイトからの RSS フィードの統合により、セキュリティの警告を提供します。グローバル コリレーション データはモニタされ、イベントおよびレポートが表示されます。これはイベントを監視し、フィルタリング、グループ化、色分けによるビューのソートを可能にします。IME は、ping、traceroute、DNS ルックアップおよび選択したイベントに関する whois ルックアップなどのツールもサポートします。また、柔軟なレポート作成ネットワークが含まれます。これは、IPS デバイスの監視と設定のシームレスな統合を可能にするための IDM コンフィギュレーション コンポーネントを埋め込みます。IME ではセンサーのセット アップ、ポリシーの設定、IPS イベントの監視、レポートの作成が可能です。IME はシングル アプリケーション モードで動作します。すべてのアプリケーションは 1 つのシステムにインストールされ、そのシステムから全体を管理できます。

PRSM

Cisco Prime Security Manager（PRSM）では 1 つの ASA CX SSP（PRSM シングル デバイス モード）または複数の ASA CX SSP（PRSM マルチ デバイス モード）を管理できます。ASA CX SSP を PRSM のインベントリへ追加することにより、デバイス間で一貫したポリシーを適用できます。すべての設定を PRSM により行って管理対象デバイスに展開し、管理対象デバイスによって生成されるすべてのイベントが PRSM に表示されます。

ASA 5585-X SSP-10

ASA 5585-X SSP-10 は、ファイアウォール、VPN サポート、および 10 本のインターフェイス（SFP/SFP+ 2 本、銅ギガビット イーサネット 8 本）を提供します。SSP-10 には 1 台の電源モジュールと 1 個のファン モジュールがあります。冗長電源装置の構成では、ファン モジュールを別の電源モジュールと交換できます。SSP-10 には 1 個の CPU、3 個の DIMM モジュール、1 個の内蔵暗号化アクセラレータ、および SFP/SFP+ インターフェイス用の 1 個のデュアル ポート 10 GB アップリンクが用意されています。

侵入防止システムの保護機能と、さらに 10 本のインターフェイスを追加する IPS SSP-10、またはコンテキスト連動ファイアウォール保護機能とさらに 10 本のインターフェイスを追加する ASA CX SSP-10 を一緒に注文することもできます。

ASA 5585-X SSP-20

ASA 5585-X SSP-20 は、ファイアウォール、VPN サポート、および 10 本のインターフェイス（SFP/SFP+ 2 本、銅ギガビット イーサネット 8 本）を提供します。SSP-20 には 1 台の電源モジュールと 1 個のファン モジュールがあります。冗長電源装置の構成では、ファン モジュールを別の電源モジュールと交換できます。SSP-20 には 1 個の CPU、6 個の DIMM モジュール、2 個の内蔵暗号化アクセラレータ、および SFP/SFP+ インターフェイス用の 1 個のデュアル ポート 10 GB アップリンクが用意されています。

侵入防止システムの保護機能と、さらに 10 本のインターフェイスを追加する IPS SSP-20、またはコンテキスト連動ファイアウォール保護機能とさらに 10 本のインターフェイスを追加する ASA CX SSP-20 を一緒に注文することもできます。

ASA 5585-X SSP-40

ASA 5585-XSSP-40 は、ファイアウォール、VPN サポート、および 10 本のインターフェイス（SFP/SFP+ 4 本、銅ギガビット イーサネット 6 本）を提供します。SSP-40 には 1 台の電源モジュールと 1 個のファン モジュールがあります。冗長電源装置の構成では、ファン モジュールを別の電源モジュールと交換できます。SSP-40 には 2 個の CPU、6 個の DIMM モジュール、3 個の内蔵暗号化アクセラレータ、および SFP/SFP+ インターフェイス用の 2 個のデュアル ポート 10 GB アップリンクが用意されています。

もう 1 つの SSP-40、または侵入防止システムの保護機能とさらに 10 本のインターフェイスを追加する IPS SSP-40 を一緒に注文することもできます。

ASA 5585-X SSP-60

ASA 5585-XSSP-60 は、ファイアウォール、VPN サポート、および 10 本のインターフェイス（SFP/SFP+ 4 本、銅ギガビット イーサネット 6 本）を提供します。SSP-60 には 2 個の電源モジュールが同梱されます。ただし、 SSP-60 は 1 台の電源モジュールのみでしか機能しません。IPS SSP-60 と連動する SSP-60 も 1 台の電源モジュールでしか動作しませんが、電源モジュールは負荷分散モードで動作するため、信頼性を増大するために 2 台の電源モジュールを取り付けることを推奨します。この構成で失敗しても、故障した電源モジュールが交換されるまで、もう一方の電源モジュールがすべての負荷を処理できます。SSP-60 には 2 個の CPU、12 個の DIMM モジュール、4 個の内蔵暗号化アクセラレータ、および SFP/SFP+ インターフェイス用の 2 個のデュアル ポート 10 GB アップリンクが用意されています。

もう 1 つの SSP-60、または侵入防止システムの保護機能とさらに 10 本のインターフェイスを追加する IPS SSP-60 を一緒に注文することもできます。

前面パネルと背面パネルの機能

ここでは、ASA 5585-X の前面パネルと背面パネルの機能とインジケータについて説明します。

図 1-1は、IPS SSP-10 が最上位スロットにあるASA 5585-X SSP-10 の前面を示します。この図は IPS SSP-10 搭載の ASA 5585-X SSP-10 を表していますが、最上位スロットに ASA CX SSP-10 を搭載した ASA 5585-X SSP-10、および IPS SSP-20 または ASA CX SSP-20 を最上位スロットに搭載した ASA 5585-X SSP-20 にも適合します。

図 1-1 IPS SSP-10 搭載 ASA 5585-X SSP-10 の前面パネル外観

図 1-2 は IPS SSP-40 搭載の ASA 5585-X SSP-40 の正面図を示しています。この図は、最上位スロットに IPS SSP-40 を搭載した ASA 5585-X SSP-40 を示していますが、最上位スロットに SSP-40 を搭載した ASA 5585-X SSP-40 もしくは最上位スロットに SSP-60 または IPS SSP-60 を搭載した ASA 5585-X SSP-60 にも適合します。

図 1-2 IPS SSP-40 搭載 ASA 5585-X SSP-40 の前面パネル外観

図 1-3 に、前面パネルのインジケータを示します。

図 1-3 ASA 5585-X 前面パネルのインジケータ

表 1-1 に、ASA 5585-X の前面パネルにあるインジケータを示します。

図 1-4 に、背面パネルの機能を示します。

図 1-4 ASA 5585-X 背面パネルの機能

図 1-5 に、電源モジュールのインジケータを示します。

図 1-5 ASA 5585-X 電源モジュールのインジケータ

表 1-2 に、電源モジュールおよびファン モジュールのインジケータを示します。

表 1-3 で、イーサネット ポート インジケータについて説明します。

仕様

表 1-4 に、ASA 5585-X の仕様を示します。

メモリ構成

ASA 5585-X には CPU ごとに 6 個の DIMM モジュールがあります。DIMM の入力は、プラットフォームによって異なります。 表 1-5 に、メモリ構成を示します。

（注） IPS SSP または ASA CX SSP は SSP モデルと同一レベルである必要があります。たとえば、ASA 5585-X SSP-10 がある場合、IPS SSP-10 しか取り付けられません。

電源モジュールの必要条件

表 1-6 に、AC および DC 電源モジュールに関する電源モジュールの要件を示します。

SFP/SFP+ モジュール

SFP/SFP+ モジュールは、SFP/SFP+ ポートに差し込まれ、ギガビット イーサネット接続を提供するホット スワップ可能な入出力デバイスです。SFP および SFP+ モジュールはオプションであり、ASA 5585-X には含まれません。それらを別に購入できます。1 GB の場合、SFP が必要です。10Gb の場合、SFP+ が必要です。2 つのポートは同じですが、SSP-10 および IPS-20 のライセンスを購入した場合にのみ 10 GB を使用できます。それ以外の場合、ポートは 1 GB に制限されます。SSP-40 および IPS-60 では、ポートは常に 10 GB イネーブルになっています。インターフェイスは 10 GB イネーブルかどうかに関係なく、 SSP の場合は TenGigabitEthernet 0/ x 、ASA 5585-X IPS SSP の場合は TenGigabitEthernet 1/ x と呼ばれます。

表 1-7 に、ASA 5585-X がサポートする SFP/SFP+ モジュールを示します。